剥离前导'/'并禁止用户提供的文件名的任何部分中的'..'仍被视为'安全'?或者是否有一些(想到utf-8编码)的方式?我不是在询问是否可以在每个文件系统上创建文件名。我想保留尽可能多的用户输入。
答案 0 :(得分:0)
我认为你应该清除你使用的文件系统的文件名中禁止的字符(不要忘记\,因为它可能会导致Windows环境中的一些问题......并且可以提供一些转义字符问题......)
但你总是可以将文件名更改为你创建的某个序列,然后将数据库映射到数据库中的这个新名称...这样你可以保留你喜欢的任何名字(列出时要小心,以避免XSS等等上...)